ISMSクラウドセキュリティ認証について


ISO27017とは

 ISO/IEC27017:2015は、あくまでも実践の規範(ガイドラインのようなもの)であり、ISO/IEC27002をクラウドセキュリティの分野に拡張したものとお考えください。ISO27000シリーズの中で一般企業向け認証制度上の要求事項は、あくまでもISO/IEC27001です。

ISO/IEC27000シリーズ
ISO/IEC27000基本用語集
27001認証のための規格要求事項
27002情報セキュリティ管理策の実践規範(管理策の実践例)
・・・・・・
27017クラウドサービスのための情報セキュリティ管理策の実践規範
・・・・・・

認証制度とは

 当認証の正式名称は「ISO/IEC27017:2015に基づくISMSクラウドセキュリティ認証(以下「クラウドセキュリティ認証」)」であり、2016年8月から審査が開始されました。

 ISO27001と同じく、一般財団法人日本情報経済社会推進協会(JIPDEC)が認定した審査機関が審査を行います。

        

認証制度について

        

        

なお、認証のための要求事項は、JIPDECがインターネット上で公表しています。

「ISO/IEC27017:2015に基づくISMSクラウドセキュリティ認証に関する要求事項(JIP-ISMS517-1.0)」

        

 

要求事項の特徴

 要求事項は、前頁で触れた通り「ISO/IEC27017:2015に基づくISMSクラウドセキュリティ認証に関する要求事項(JIP-ISMS517-1.0)」ですが、「ISO/IEC27017の管理策」を確認しなくてはならない要求が含まれているため、結果的にはISO/IEC27017も必要です。

        

要求事項の特徴について

        

 ISO27017を認証制度として運用するための規格が 「ISO/IEC27017:2015に基づくISMSクラウドセキュリティ認証に関する要求事項(JIP-ISMS517-1.0)」とお考えください。

要求事項(JIP-ISMS517-1.0)の中身

        

要求事項の中身について

        

ISO27001との関係

 クラウドセキュリティ認証単独では認証として成立しません。ISO27001を認証のアドオンとして成立する認証です。すなわち、ISO27001認証を取得していない組織はクラウドセキュリティ認証も取得できないということです。

        

ISO27001との関係について

        

認証の有効期間

 有効期間は「最大3年間」ですが、ISO27001認証を前提にした認証であるため、ISO27001認証の有効期間に従うことになります。

        

認証の有効期間について

        

認証取得までの工程

ISO27001新規認証と同時認証の場合

ISO27001新規認証と同時認証の場合

ISO27001は認証済みの場合

ISO27001は認証済みの場合

①立場の明確化

 クラウドセキュリティ認証では、受審組織の立ち位置によって管理策への対応が変わるため、まずは「プロバイダ」なのか「カスタマ」なのか、それとも「両方」なのか、立ち位置を明確にする必要があります。

1、クラウドサービスプロバイダ
① IaaSInfrastructure as a Service
ネットワーク、サーバ等のハードウェアをインターネット上で
提供している組織
② PaaSPlatform as a Service(Ms Azure 等)
アプリケーションを利用するためのプラットフォームをミドルウェア
までインターネット上で提供している組織
③ SaaSSoftware as a Service(Google Apps、Salesforce 等)
ソフトウェアをインターネット上で利用できるようにサービスとして
提供している組織
2、クラウドサービスカスタマクラウドサービスを利用している組織

②適用範囲の決定(4.1)

 ①の立場に沿って、クラウドサービス名が分かる形で適用範囲を設定することが必要です。なお、ISO27001認証を前提にしているため、ISO27001認証における適用範囲を超える適用範囲は認められません。

        

適用範囲の決定について

③リスクアセスメント(4.2.1)

 「カスタマ」「プロバイダ」「両方」いずれの立場であるかをふまえて、クラウドサービスに関するリスクを特定、分析、評価することが要求されます。

 ISO27001で要求されるアセスメントスキームの変更が要求されるわけではありませんが、クラウドセキュリティの観点でのアセスメントが必要になるとお考えください。

リスクアセスメントについて

④リスク対応(4.2.2)

 ISO27001に同様の要求がありますが、①クラウド上のリスク②ISO27017で拡張された管理策を考慮して対応する必要があります。

        

 a)リスクアセスメント結果を考慮したリスク対応の決定

   ⇒ ISO27001と同様

 b)リスク対応に必要な管理策の決定

   ⇒ ISO27001と同様

 c)b)で決定された管理策と、ISO27001附属書A及びISO27017に示す管理策を比較して見落としが無いか検証

   ⇒ ISO27017で示す管理策と比較しなくてはならない点が追加

 d)適用宣言書の作成 

   ⇒ 「立ち場」を明確にし、ISO27017で示す管理策を含めた適用宣言書の作成が必要

規格上の管理策の見方

 同じ管理策でも、「カスタマ」に対する手引きと「プロバイダ」に対する手引きが分かれています。また、一方にしか手引きが存在しない管理策もあります。なお、カスタマ、プロバイダ双方に該当する場合は、双方の手引きを考慮する必要があります。

        

【例】

CLD.6.3.1 クラウドコンピューティング環境における役割及び責任の共有及び分担
管理策
クラウドサービスの利用に関して・・・

【クラウドサービスのための実施の手引き】
クラウドサービスカスタマ
クラウドサービスプロバイダ
クラウドサービスカスタマは、クラウドサービス
の利用に・・・
          
クラウドサービスプロバイダは、自らの・・・
          
          

        

ISO/IEC27002既存管理策の変更点

項番管理目的変更点
A.5
情報セキュリティのための方針群【1.1】に手引き追加
A.6
情報セキュリティのための組織【1.1】【1.3】に手引き追加
A.7
人的資源のセキュリティ【2.2】に手引き追加
A.8
資産の管理【1.1】【2.2】に手引き追加
【1.2】に関連情報追加
A.9
アクセス制御【1.2】【2.1】【2.2】【2.3】【2.4】【4.1】【4.4】に手引き追加
【2.2】【2.4】【4.1】に関連情報追加
A.10暗号【1.1】【1.2】に手引き追加
A.11物理的及び環境的セキュリティ【2.7】に手引き追加
【2.7】に関連情報追加
A.12運用のセキュリティ【1.2】【1.3】【3.1】【4.1】【4.3】【4.4】【6.1】に手引き追加
【1.2】【1.3】【3.1】【4.1】【4.3】【4.4】に関連情報追加
A.13通信のセキュリティ【1.3】に手引き、関連情報追加
A.14システムの取得、開発及び保守【1.1】【2.1】に手引き追加
【1.1】【2.1】【2.9】の関連情報追加
A.15供給者関係【1.1】【1.2】【1.3】に手引き追加
A.16情報セキュリティインシデント管理【1.1】【1.2】【1.7】に手引き追加
【1.2】に関連情報追加
A.17事業継続マネジメントにおける情報セキュリティの側面
A.18遵守【1.1】【1.2】【1.3】【1.5】【2.1】に手引き追加
【1.1】【1.4】に関連情報追加

ISO/IEC27017で拡張された管理策(附属書A)

項番管理目的・管理策
CLD6.3クラウドサービスカスタマとクラウドサービスプロバイダとの関係
【CLD6.3.1】クラウドコンピューティング環境における役割及び責任の共有及び分担
CLD8.1資産に対する責任(管理目的の変更無し)
【CLD8.1.5】クラウドサービスカスタマの資産の除去
CLD9.5共有する仮想環境におけるクラウドサービスカスタマデータのアクセス制御
【CLD9.5.1】仮想コンピューティング環境における分離
【CLD9.5.2】仮想マシンの要塞化
CLD12.1運用の手順及び責任(管理目的の変更無し)
【CLD12.1.5】実務管理者の運用のセキュリティ
CLD12.4ログ取得及び監視(管理目的の変更無し)
【CLD12.4.5】クラウドサービスの監視
CLD13.1ネットワークセキュリティ管理(管理目的の変更無し)
【CLD13.1.4】仮想及び物理ネットワークのセキュリティ管理の整合

費用の内訳

1審査費用必須
2設備投資状況と目的による
3外部からの支援費用
(コンサルティングフィー等)

設備投資

 ISO27001と同じく、認証を取得するだけのためにする設備投資は必須ではありません。リスクにどう対応するかは受審組織の判断に委ねられます。

設備投資について

外部からの支援費用

【金額を左右する主な要素】
1取組目的認証を取得できればよいのか、明確な目標・テーマがあるのか
2期間極端に短期間、極端に長期間
3対象組織規模
事業内容
調査にどの程度の時間を要するか
「カスタマ」なのか「プロバイダ」なのか「両方」なのか
4ISMS構築内容システムの理解、文書の読込にどの程度の時間を要するか
5支援範囲どの工程を支援するか
6支援内容アドバイス中心なのか、作業支援が必要なのか等

資料請求

まずは、お電話もしくはフォームより、お問い合わせ、もしくは資料請求をください。